Acid Shivers
Faites une recherche et effacez les fichiers: "en-cid12.exe" et "en-cid12.dat"
--------------------------------------------------------------------
Aol Trojan
Effacer le clé "dat92003" dans la base de registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Redemarrez votre ordi, ou fermez "dat92003.exe"
Effacer le fichier "dat92003.exe" dans le repertoire c:\windows
--------------------------------------------------------------------
Attack Ftp
Voici pour Infos ce que ce troyen fous comme bordel sur votre ordi :-)
- Copie Wsgt32.dl_ dans le répertoire system et renomme le fichier en DrWatsom.exe
- Copie Wsgt32.dl_ dans le répertoire windows et le renomme en Wver.dll
- Copie Install.exe dans le répertoire system et le renomme en Wscan.exe
- Ecris un clé dans Win.ini pour lancer Drwatsom.exe au prochain redémarrage
- Ecris une clé dans la base de registre pour lancer Wscan.exe au démarrage
- Crée Serv-u.ini dans le répertoire system
- scanne le disque dur pour avoir TREE.DAT (password de Cute-FTP)
- Copie les résultats dans c:\windows\Result.dll
- Lance Drwatsom.exe
- Mets un message d'erreur
* Enlever le troyen (D'après l'auteur) :
- Fermer Drwatsom (Ctrl+Alt+Suppr)
- Executer la commande : "Wscan.exe Louis_Cypher"
- Supprimer la clé:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Value wscan.exe
- Supprimer Wscan.exe de c:\windows\system
--------------------------------------------------------------------
BackAge
* Version 3.0 et 3.01 :
Dans la base de registre, effacer ces 4 clés:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Voila apres faut virer SystemKernel32 dans le registre:
HKEY_USERS\.Default\Software\Win\RUN
Ensuite, trouve le fichier "system.ini" (normalement dans c:\windows\system.ini) et effacer les lignes:
shell=Explorer.exe WinStop32.exe. under [boot]
jusqu'a
shell=explorer.exe
Ensuite trouver "win.ini" (normalement dans c:\windows\win.ini) et effacer la ligne:
run=WinStop32.exe under [Windows]
Ensuite redemarrez l'ordi ou fermez "WinStop32.exe"
Enfin, effacer "WinStop32.exe" dans le repertoire c:\windows
(..:: Page provenant du site: www.tenka.fr.st ::..)
* Version 3.1 et 3.1.1 et 3.2 SE :
Effacer la clé "Internet Explorer Plugin" dans le registre:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Effacer aussi la clé "SystemKernel32" dans le registre:
HKEY_USERS\.Default\Software\Win\RUN
Ouvrir le fichier "systeme.ini" (Normalement dans c:\windows\systeme.ini) et effacer les lignes:
shell=Explorer.exe MSkernel16.exe. under [boot]
jusqu'a
shell=explorer.exe
Ouvrir ensuite le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run=MSkernel16.exe under [Windows]
Redemarrez l'ordinateur ou fermez "MSkernel16.exe"
Enfin, effacer le fichier "MSkernel16.exe" dans le repertoire c:\windows
--------------------------------------------------------------------
BackConstruction
Copié dans:
C:\WINDOWS\Cmctl32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Shell"="C:\\WINDOWS\\Cmctl32.exe"
--------------------------------------------------------------------
Back Door
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
--------------------------------------------------------------------
Back Orifice
La clé est en général :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => Standard Value .exe
ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => 412124.TMP Value=412124.TMP
Nombres au hasard se terminant par une extension .TMP
* Version Back Orifice 120 :
Utilisez "Bouffe Troyen"
--------------------------------------------------------------------
Bla
Copié dans:
C:\WINDOWS\$Temp\TROJAN.EXE"
c:\windows\system\Rundll.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="C:\\WINDOWS\\$TEMP\TROJAN.EXE"
"systemdoor"="c:\\windows\\system\\Rundll argp1"
--------------------------------------------------------------------
Barock
* Version 1.0 et 2.0 :
Effacer le clé "WCheckUp" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez l'ordinateur ou fermez "WCheckUp.exe"
Effacer le troyen "WCheckUp.exe" dans le repertoir System de Windows (c:\windows\system)
* Version 2.1 :
Le troyen "WinCheck.exe" doit etre fermé.
Si vous n'arrivez pas a le fermer, passer sous DOS et fermez le... (close c:\windows\system\WinCheck.exe)
Ensuite effacer la clé "WinCheck" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Puis effacer "WinCheck.exe" dans le repertoire Windows\System (c:\windows\sytem)
--------------------------------------------------------------------
Canasson
Ouvrir le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run= msie5.exe under [Windows]
(Noter qu'il y a beaucoup d'espace entre le run= et msie5.exe)
Redemarrez votre ordi ou fermez "msie5.exe"
Effacer le fichier du troyen "msie5.exe" (Normalement dans c:\)
--------------------------------------------------------------------
Deep Throat 3.1
Copié dans :
c:\windows\systray.exe
[HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Run]
"Systemtray"="c:\\windows\\systray.exe"
--------------------------------------------------------------------
Evil FTP
Dans le fichier "win.ini" effacer la clé:
run=%windows system dir%\msrun.exe under the [Windows]
Redemarrez votre ordi.
Effacer le troyen "msrun.exe" dans le repertoire System de Windows (Normalement dans c:\windows\system)
--------------------------------------------------------------------
FakeVirii
Se copie dans :
C:\WINDOWS\system\nssx.exe (36 864 Bytes)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Kernel32.dll"="c:\\windows\\ccc.exe"
--------------------------------------------------------------------
Frenzy 1.01
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explore"="C:\\Program files\\msgsrv36.exe"
--------------------------------------------------------------------
Gate Crasher
Il s'agit d'un troyen tré specifique:
- Il a besoin de 2 fichier joints "port.dat" + un .EXE ou d'un .DOC
Il infecte une macro de WORD, celle-ci contient le texte:
"This file once opened checks to see if you have the latest
version of winsck.ocx and you have so no updates are available"
- Il n'ouvre pas le port tout de suite, il surveille si le DUN (Dial Up Network) est actif ou non...
Dès qu'il est actif, il ouvre les ports. Il est alors indétectable
la clé est :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer Value=EXPLORE.exe
La taille de fichier "explore.exe" original est exactement de 94.208 Bytes
La taille de "Port.dat" est de 94 208 Bytes
La taille de "Port.exe" est de 40 960 Bytes
La taille de "Port.doc" est de 39 424 Bytes
--------------------------------------------------------------------
GirlFriend
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run
Windll Value c:\windows\windll.exe
(Peut être renommé)
Supprimez c:\windows\windll.exe
windll.exe fait exactement 309.248 Bytes
windll.exe fait exactement 189.196 Bytes (Ils sont deux fichiers)
--------------------------------------------------------------------
Hack'a'Tack
Copié dans :
C:\windows\Expl32.exe (241 397 bytes)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer32"="C:\\WINDOWS\\Expl32.exe"
--------------------------------------------------------------------
Icq Trojen
Se place dans le répertoire ICQ et renomme le véritable ICQ en "ICQ2.exe"
Le supprimer est très facile, il suffit de supprimer "ICQ.exe" et de renommer "ICQ2.exe" en "ICQ.exe"
Vous pouez aussi utiliser "Bouffe Troyen"
Server EXE original fait exactement 39.424 Bytes.
Server Exe modifié fait exactement 27.779 Bytes
Joint à Back Orifice, il fait 188.438 Bytes
--------------------------------------------------------------------
Indoctrination
Copié dans :
C:\windows\sysprot.exe (29184 bytes)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Msgsrv16"="Msgsrv16"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Msgsrv16"="Msgsrv16"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16 "
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Msgsrv16"="Msgsrv16"
--------------------------------------------------------------------
Ini Killer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Version 4:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
--------------------------------------------------------------------
Kuang
Se copie dans :
c:\windows\_webcache_.exe
C:\WINDOWS\SYSTEM\Temp$1.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WebAccelerator"="_webcache_.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Temp$1.task"="C:\\WINDOWS\\SYSTEM\\Temp$1.exe"
* Kuang 2 Full :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps_full.task"="C:\\WINDOWS\\SYSTEM\ \K2ps_full.exe"
(..:: Page provenant du site: www.tenka.fr.st ::..)
* Kuang 2 :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps"="C:\\WINDOWS\\SYSTEM\\K2psl.exe "
--------------------------------------------------------------------
Master Paradise
* Version 99 beta 9.9 :
Redemarrez votre ordi ou fermez le fichier "Angel.exe"
Puis effacer le fichier "Angel.exe"
* Version 98 beta 9.7 et beta 9.8 :
Redemarrez votre ordi ou fermez le fichier "Uagent.exe"
Puis effacer le fichier "Uagent.exe"
* Version 98 beta 2 :
Redemarrez votre ordi ou fermez le fichier "trojan.exe"
Puis effacer le fichier "trojan.exe"
--------------------------------------------------------------------
Maverick's Matrix
Copié dans:
C:\WINDOWS\Wincfg.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wincfg.exe"="C:\WINDOWS\Wincfg.exe"
--------------------------------------------------------------------
Millenium
Quand il est installé, une fenêtre de dialogue se lance disant "Le système est mis à jour"
Se copie dans:
C:\WINDOWS\SYSTEM\reg666.exe
C:\WINDOWS\SYSTEM\regersys.ocx
Les clés de la base sont :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Millenium Value=reg666.exe
Et dans win.ini : run=C:\windows\system\reg666.exe
--------------------------------------------------------------------
Netbus
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Version 2:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
--------------------------------------------------------------------
Netbus Pro 2 + Beta + Netrex
* Original NetbusPro 2 + Beta :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run
NameoftheEXE Value c:\windows\nameofthe.exe
Pour verifier que c'est surement Netbus pro qui fonctionne :
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
->Accept Value = 1*
->AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont toutes les clés standart mais elles peuvent varier
HKEY_CURRENT_USER\NetBus Server\Protection
->Password Value = A
Le password est crypté et s'il y a A, c'est qu'il n'y a pas de password !
Le serveur fait exactement 612.966 Bytes
* The Version called Netrex
Pour vérifier que c'est bien cette version qui tourne :
->HKEY_CURRENT _USER\NetRex
->HKEY_CURRENT_USER\NetRex Server\General
->Accept Value = 1*
- >AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont les clés standart mais elles peuvent varier.
->HKEY_CURRENT_USER\NetRex Server\Protection
->Password Value = A
Le pass est crypté BLA BLA BLA ...
* Version Netbus 1.5 et 1.6 et 1.7 :
Utilisez "Bouffe Troyen"
--------------------------------------------------------------------
Netsphere
Se copie dans :
C:\WINDOWS\system\nssx.exe
La clé de la base de registre est:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NSSX"="C:\\WINDOWS\\system\\nssx.exe"
* Netsphere Final :
Copié dans :
c:\windows\system\epp32.exe
Effacer cette clé dans le registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ExecPowerProfile"="C:\\WINDOWS\\system\\epp32.exe"
--------------------------------------------------------------------
Progenic Trojan Beta Series
Copié dans :
c:\windows\scandiskvr.exe
Clé du registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Scandisk"="c:\\windows\\scandiskvr.exe"
--------------------------------------------------------------------
Remote Hack
Effacer le clé "Norton Anti Virus" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez votre ordi ou fermez "Norton.exe"
Effacer "Norton.exe" dans le repertoire Windows.
--------------------------------------------------------------------
Remote Storm
Effacer la clé "WinManager" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez votre ordi ou fermez "DllRun.exe"
Effacer les fichiers "DllRun.exe" et "DllCount.sys" dans le repertoire c:\windows\system
--------------------------------------------------------------------
Schoolbus
Effacer la clé "Emt Indicator" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez votre ordi ou fermez "Grcframe.exe"
Effacer le troyen "Grcframe.exe" dans le repertoire Windows System (c:\windows\system)
PS: Pour certaine version de ce troyen, il n'y a pas de clé inscrite dans le registre.
--------------------------------------------------------------------
Socket De Troie
* Version 1.0 :
Processus mémoire :
Drvctrl95
Fichier (322,560Ko) :
C:\Windows\System\DrvCtrl95.exe
Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load DrvCtrl95
2) Clé : HKEY_CLASSES_ROOT\DirectSocketsDrv\
Nom valeur : DirectSocketsCtrlDrv
(Elle empechera la version 1.0 de se réinstaller (voir patch))
Port ouvert (TCP) :
[5000]
Client possible :
TCP : pour le transfert de fichiers sur le port [5001]
* Version 1.1 :
Processus mémoire :
MSchv32
Fichier (335,872Ko) :
C:\Windows\System\MSchv32.exe
Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load MSchv32 Drv
2) Clé : HKEY_CLASSES_ROOT\DirectSockets\
Nom valeur : DirectSocketsCtrl
(Elle empechera la version 1.1 de se réinstaller (voir patch))
Port ouvert (TCP) :
[5000]
Client possible :
TCP : pour le transfert de fichiers sur le port [5001]
* Version 2.3 :
Processus mémoire (selon le fichier lancé) :
Rsrcload
OU
Csmctrl32
OU
Mgadeskdll
Fichiers (339,456Ko) :
C:\Windows\Rsrcload.exe
ET
C:\Windows\System\Csmctrl32.exe
ET
C:\Windows\System\Mgadeskdll.exe
Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Mgadeskdll
2) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Rsrcload
3) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Nom valeur : Load Csmctrl32
Ports ouverts :
TCP [30303]
ET
TCP [50505]
ET
TCP aléatoire entre [60000] et [65000]
Clients possibles :
TCP : pour le transfert de fichiers sur le port [5001]
TCP : pour la partie "Client" (spoof telnet) sur n'importe quel port
Particularité :
Tant qu'il tourne, il check et se réinstalle (fichiers + registre).
Il est donc obligatoire de fermer le prossesus d'abord pour opérer ensuite depuis windows.
Sinon, effacer tous les fichiers en DOS puis s'occuper du registre ensuite, sous windows.
FIN.
Ben voila plus jamais une infection par un trojans vous feras peur, perdre du temps et de l'argent^^)
Faites une recherche et effacez les fichiers: "en-cid12.exe" et "en-cid12.dat"
--------------------------------------------------------------------
Aol Trojan
Effacer le clé "dat92003" dans la base de registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Redemarrez votre ordi, ou fermez "dat92003.exe"
Effacer le fichier "dat92003.exe" dans le repertoire c:\windows
--------------------------------------------------------------------
Attack Ftp
Voici pour Infos ce que ce troyen fous comme bordel sur votre ordi :-)
- Copie Wsgt32.dl_ dans le répertoire system et renomme le fichier en DrWatsom.exe
- Copie Wsgt32.dl_ dans le répertoire windows et le renomme en Wver.dll
- Copie Install.exe dans le répertoire system et le renomme en Wscan.exe
- Ecris un clé dans Win.ini pour lancer Drwatsom.exe au prochain redémarrage
- Ecris une clé dans la base de registre pour lancer Wscan.exe au démarrage
- Crée Serv-u.ini dans le répertoire system
- scanne le disque dur pour avoir TREE.DAT (password de Cute-FTP)
- Copie les résultats dans c:\windows\Result.dll
- Lance Drwatsom.exe
- Mets un message d'erreur
* Enlever le troyen (D'après l'auteur) :
- Fermer Drwatsom (Ctrl+Alt+Suppr)
- Executer la commande : "Wscan.exe Louis_Cypher"
- Supprimer la clé:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Value wscan.exe
- Supprimer Wscan.exe de c:\windows\system
--------------------------------------------------------------------
BackAge
* Version 3.0 et 3.01 :
Dans la base de registre, effacer ces 4 clés:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Voila apres faut virer SystemKernel32 dans le registre:
HKEY_USERS\.Default\Software\Win\RUN
Ensuite, trouve le fichier "system.ini" (normalement dans c:\windows\system.ini) et effacer les lignes:
shell=Explorer.exe WinStop32.exe. under [boot]
jusqu'a
shell=explorer.exe
Ensuite trouver "win.ini" (normalement dans c:\windows\win.ini) et effacer la ligne:
run=WinStop32.exe under [Windows]
Ensuite redemarrez l'ordi ou fermez "WinStop32.exe"
Enfin, effacer "WinStop32.exe" dans le repertoire c:\windows
(..:: Page provenant du site: www.tenka.fr.st ::..)
* Version 3.1 et 3.1.1 et 3.2 SE :
Effacer la clé "Internet Explorer Plugin" dans le registre:
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Effacer aussi la clé "SystemKernel32" dans le registre:
HKEY_USERS\.Default\Software\Win\RUN
Ouvrir le fichier "systeme.ini" (Normalement dans c:\windows\systeme.ini) et effacer les lignes:
shell=Explorer.exe MSkernel16.exe. under [boot]
jusqu'a
shell=explorer.exe
Ouvrir ensuite le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run=MSkernel16.exe under [Windows]
Redemarrez l'ordinateur ou fermez "MSkernel16.exe"
Enfin, effacer le fichier "MSkernel16.exe" dans le repertoire c:\windows
--------------------------------------------------------------------
BackConstruction
Copié dans:
C:\WINDOWS\Cmctl32.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Shell"="C:\\WINDOWS\\Cmctl32.exe"
--------------------------------------------------------------------
Back Door
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
--------------------------------------------------------------------
Back Orifice
La clé est en général :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => Standard Value .exe
ou
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => 412124.TMP Value=412124.TMP
Nombres au hasard se terminant par une extension .TMP
* Version Back Orifice 120 :
Utilisez "Bouffe Troyen"
--------------------------------------------------------------------
Bla
Copié dans:
C:\WINDOWS\$Temp\TROJAN.EXE"
c:\windows\system\Rundll.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"system"="C:\\WINDOWS\\$TEMP\TROJAN.EXE"
"systemdoor"="c:\\windows\\system\\Rundll argp1"
--------------------------------------------------------------------
Barock
* Version 1.0 et 2.0 :
Effacer le clé "WCheckUp" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez l'ordinateur ou fermez "WCheckUp.exe"
Effacer le troyen "WCheckUp.exe" dans le repertoir System de Windows (c:\windows\system)
* Version 2.1 :
Le troyen "WinCheck.exe" doit etre fermé.
Si vous n'arrivez pas a le fermer, passer sous DOS et fermez le... (close c:\windows\system\WinCheck.exe)
Ensuite effacer la clé "WinCheck" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Puis effacer "WinCheck.exe" dans le repertoire Windows\System (c:\windows\sytem)
--------------------------------------------------------------------
Canasson
Ouvrir le fichier "win.ini" (Normalement dans c:\windows\win.ini) et effacer la ligne:
run= msie5.exe under [Windows]
(Noter qu'il y a beaucoup d'espace entre le run= et msie5.exe)
Redemarrez votre ordi ou fermez "msie5.exe"
Effacer le fichier du troyen "msie5.exe" (Normalement dans c:\)
--------------------------------------------------------------------
Deep Throat 3.1
Copié dans :
c:\windows\systray.exe
[HKEY_LOCAL_MACHINE\Software\Mi crosoft\Windows\CurrentVersion\Run]
"Systemtray"="c:\\windows\\systray.exe"
--------------------------------------------------------------------
Evil FTP
Dans le fichier "win.ini" effacer la clé:
run=%windows system dir%\msrun.exe under the [Windows]
Redemarrez votre ordi.
Effacer le troyen "msrun.exe" dans le repertoire System de Windows (Normalement dans c:\windows\system)
--------------------------------------------------------------------
FakeVirii
Se copie dans :
C:\WINDOWS\system\nssx.exe (36 864 Bytes)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Kernel32.dll"="c:\\windows\\ccc.exe"
--------------------------------------------------------------------
Frenzy 1.01
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explore"="C:\\Program files\\msgsrv36.exe"
--------------------------------------------------------------------
Gate Crasher
Il s'agit d'un troyen tré specifique:
- Il a besoin de 2 fichier joints "port.dat" + un .EXE ou d'un .DOC
Il infecte une macro de WORD, celle-ci contient le texte:
"This file once opened checks to see if you have the latest
version of winsck.ocx and you have so no updates are available"
- Il n'ouvre pas le port tout de suite, il surveille si le DUN (Dial Up Network) est actif ou non...
Dès qu'il est actif, il ouvre les ports. Il est alors indétectable
la clé est :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Explorer Value=EXPLORE.exe
La taille de fichier "explore.exe" original est exactement de 94.208 Bytes
La taille de "Port.dat" est de 94 208 Bytes
La taille de "Port.exe" est de 40 960 Bytes
La taille de "Port.doc" est de 39 424 Bytes
--------------------------------------------------------------------
GirlFriend
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo ws\CurrentVersion\Run
Windll Value c:\windows\windll.exe
(Peut être renommé)
Supprimez c:\windows\windll.exe
windll.exe fait exactement 309.248 Bytes
windll.exe fait exactement 189.196 Bytes (Ils sont deux fichiers)
--------------------------------------------------------------------
Hack'a'Tack
Copié dans :
C:\windows\Expl32.exe (241 397 bytes)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Explorer32"="C:\\WINDOWS\\Expl32.exe"
--------------------------------------------------------------------
Icq Trojen
Se place dans le répertoire ICQ et renomme le véritable ICQ en "ICQ2.exe"
Le supprimer est très facile, il suffit de supprimer "ICQ.exe" et de renommer "ICQ2.exe" en "ICQ.exe"
Vous pouez aussi utiliser "Bouffe Troyen"
Server EXE original fait exactement 39.424 Bytes.
Server Exe modifié fait exactement 27.779 Bytes
Joint à Back Orifice, il fait 188.438 Bytes
--------------------------------------------------------------------
Indoctrination
Copié dans :
C:\windows\sysprot.exe (29184 bytes)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
"Msgsrv16"="Msgsrv16"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Msgsrv16"="Msgsrv16"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16 "
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Msgsrv16"="Msgsrv16"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Msgsrv16"="Msgsrv16"
--------------------------------------------------------------------
Ini Killer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Version 4:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
--------------------------------------------------------------------
Kuang
Se copie dans :
c:\windows\_webcache_.exe
C:\WINDOWS\SYSTEM\Temp$1.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WebAccelerator"="_webcache_.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Temp$1.task"="C:\\WINDOWS\\SYSTEM\\Temp$1.exe"
* Kuang 2 Full :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps_full.task"="C:\\WINDOWS\\SYSTEM\ \K2ps_full.exe"
(..:: Page provenant du site: www.tenka.fr.st ::..)
* Kuang 2 :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"K2ps"="C:\\WINDOWS\\SYSTEM\\K2psl.exe "
--------------------------------------------------------------------
Master Paradise
* Version 99 beta 9.9 :
Redemarrez votre ordi ou fermez le fichier "Angel.exe"
Puis effacer le fichier "Angel.exe"
* Version 98 beta 9.7 et beta 9.8 :
Redemarrez votre ordi ou fermez le fichier "Uagent.exe"
Puis effacer le fichier "Uagent.exe"
* Version 98 beta 2 :
Redemarrez votre ordi ou fermez le fichier "trojan.exe"
Puis effacer le fichier "trojan.exe"
--------------------------------------------------------------------
Maverick's Matrix
Copié dans:
C:\WINDOWS\Wincfg.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Wincfg.exe"="C:\WINDOWS\Wincfg.exe"
--------------------------------------------------------------------
Millenium
Quand il est installé, une fenêtre de dialogue se lance disant "Le système est mis à jour"
Se copie dans:
C:\WINDOWS\SYSTEM\reg666.exe
C:\WINDOWS\SYSTEM\regersys.ocx
Les clés de la base sont :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Millenium Value=reg666.exe
Et dans win.ini : run=C:\windows\system\reg666.exe
--------------------------------------------------------------------
Netbus
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Version 2:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
--------------------------------------------------------------------
Netbus Pro 2 + Beta + Netrex
* Original NetbusPro 2 + Beta :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window s\CurrentVersion\Run
NameoftheEXE Value c:\windows\nameofthe.exe
Pour verifier que c'est surement Netbus pro qui fonctionne :
HKEY_CURRENT_USER\NetBus
HKEY_CURRENT_USER\NetBus Server\General
->Accept Value = 1*
->AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont toutes les clés standart mais elles peuvent varier
HKEY_CURRENT_USER\NetBus Server\Protection
->Password Value = A
Le password est crypté et s'il y a A, c'est qu'il n'y a pas de password !
Le serveur fait exactement 612.966 Bytes
* The Version called Netrex
Pour vérifier que c'est bien cette version qui tourne :
->HKEY_CURRENT _USER\NetRex
->HKEY_CURRENT_USER\NetRex Server\General
->Accept Value = 1*
- >AccesMode Value = 2*
->Autostart Value = 1*
->TCPPort Value = 20340*
->Visibility Value = 3*
Ce sont les clés standart mais elles peuvent varier.
->HKEY_CURRENT_USER\NetRex Server\Protection
->Password Value = A
Le pass est crypté BLA BLA BLA ...
* Version Netbus 1.5 et 1.6 et 1.7 :
Utilisez "Bouffe Troyen"
--------------------------------------------------------------------
Netsphere
Se copie dans :
C:\WINDOWS\system\nssx.exe
La clé de la base de registre est:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NSSX"="C:\\WINDOWS\\system\\nssx.exe"
* Netsphere Final :
Copié dans :
c:\windows\system\epp32.exe
Effacer cette clé dans le registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ExecPowerProfile"="C:\\WINDOWS\\system\\epp32.exe"
--------------------------------------------------------------------
Progenic Trojan Beta Series
Copié dans :
c:\windows\scandiskvr.exe
Clé du registre:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Scandisk"="c:\\windows\\scandiskvr.exe"
--------------------------------------------------------------------
Remote Hack
Effacer le clé "Norton Anti Virus" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez votre ordi ou fermez "Norton.exe"
Effacer "Norton.exe" dans le repertoire Windows.
--------------------------------------------------------------------
Remote Storm
Effacer la clé "WinManager" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez votre ordi ou fermez "DllRun.exe"
Effacer les fichiers "DllRun.exe" et "DllCount.sys" dans le repertoire c:\windows\system
--------------------------------------------------------------------
Schoolbus
Effacer la clé "Emt Indicator" dans le registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Redemarrez votre ordi ou fermez "Grcframe.exe"
Effacer le troyen "Grcframe.exe" dans le repertoire Windows System (c:\windows\system)
PS: Pour certaine version de ce troyen, il n'y a pas de clé inscrite dans le registre.
--------------------------------------------------------------------
Socket De Troie
* Version 1.0 :
Processus mémoire :
Drvctrl95
Fichier (322,560Ko) :
C:\Windows\System\DrvCtrl95.exe
Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load DrvCtrl95
2) Clé : HKEY_CLASSES_ROOT\DirectSocketsDrv\
Nom valeur : DirectSocketsCtrlDrv
(Elle empechera la version 1.0 de se réinstaller (voir patch))
Port ouvert (TCP) :
[5000]
Client possible :
TCP : pour le transfert de fichiers sur le port [5001]
* Version 1.1 :
Processus mémoire :
MSchv32
Fichier (335,872Ko) :
C:\Windows\System\MSchv32.exe
Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load MSchv32 Drv
2) Clé : HKEY_CLASSES_ROOT\DirectSockets\
Nom valeur : DirectSocketsCtrl
(Elle empechera la version 1.1 de se réinstaller (voir patch))
Port ouvert (TCP) :
[5000]
Client possible :
TCP : pour le transfert de fichiers sur le port [5001]
* Version 2.3 :
Processus mémoire (selon le fichier lancé) :
Rsrcload
OU
Csmctrl32
OU
Mgadeskdll
Fichiers (339,456Ko) :
C:\Windows\Rsrcload.exe
ET
C:\Windows\System\Csmctrl32.exe
ET
C:\Windows\System\Mgadeskdll.exe
Entrées dans le registre windows :
1) Clé : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Mgadeskdll
2) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
Nom valeur : Load Rsrcload
3) Clé : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\
Nom valeur : Load Csmctrl32
Ports ouverts :
TCP [30303]
ET
TCP [50505]
ET
TCP aléatoire entre [60000] et [65000]
Clients possibles :
TCP : pour le transfert de fichiers sur le port [5001]
TCP : pour la partie "Client" (spoof telnet) sur n'importe quel port
Particularité :
Tant qu'il tourne, il check et se réinstalle (fichiers + registre).
Il est donc obligatoire de fermer le prossesus d'abord pour opérer ensuite depuis windows.
Sinon, effacer tous les fichiers en DOS puis s'occuper du registre ensuite, sous windows.
FIN.
Ben voila plus jamais une infection par un trojans vous feras peur, perdre du temps et de l'argent^^)
Commentaire